3.1.1个人信息是指，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、性别、国籍、出生日期、身份证件种类、身份证件号码和有效期限、个人生物识别信息、通信通讯联系方式、住所地或者工作单位住址、职业信息、账户信息、财产信息等。

3.1.2个人敏感信息是指，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息主要包括：身份证件号码、个人生物识别信息、银行账号、征信信息、财产信息、交易信息等。

为向您提供服务并确保您的信息安全，在您使用我行产品和/或服务过程中，我行会收集您在使用服务过程中主动输入或因使用服务而产生的信息：

3.2.1当您开通或登录个人手机银行或个人网上银行时，依据法律法规及监管要求，我行可能会收集您的个人基本资料、身份信息、财产信息、通信信息、设备信息（包括但不限于设备型号、操作系统、唯一设备标识符、个人手机银行软件版本号）、个人生物识别信息、手机号码信息，以帮助您完成相关注册，如果您拒绝提供这些信息，您可能无法开通个人手机银行或个人网上银行，或无法正常使用我行的服务。

3.2.2当您使用个人手机银行或个人网上银行的功能或服务时，例如在下列情形中，您可能需要向我行提供或授权我行收集相应服务所需的个人信息。如您拒绝提供部分功能或服务所需信息，您可能无法使用该部分功能或服务，但这不影响您正常使用其他功能或服务。

A. 如您在个人手机银行中选择通过指纹、声纹、刷脸功能进行登录、转账、支付、身份认证，需向我行提供您的指纹、声纹、人脸图像信息。我行不会采集您的指纹，您的指纹仅保存在您授权采集指纹设备上。我行在获得您的授权后采集的声纹信息、人脸信息，将加密存储于我行信息系统后台数据库中。如您不提供上述信息，我行将无法向您提供需完成指纹、声纹、人脸认证后方可使用的产品或服务。

对于某些品牌或型号的手机终端自身的本地生物特征认证功能，如FaceID功能，其信息由手机终端提供商进行处理，我行不留存您应用手机终端相关功能中的信息。

B. 当您使用手机号转账功能、话费充值涉及通讯录的功能时，我行仅获取您从通讯录中点选的联系人信息，并进行加密传输以防恶意截取。上述信息属于个人敏感信息。如您不需要使用上述功能，可不提供该信息，将不会影响您正常使用个人手机银行的其他功能。您可以不通过通讯录选择而是手动输入手机号。

C. 当您使用转账汇款、跨境汇款、账号支付、条码支付功能时，您可能需要提供收款方的手机号码、姓名、银行卡卡号/账号、开户银行、资金用途信息，并可能需要提供您的 姓名、手机号码、证件类型及证件号码信息，以便于验证身份及使用上述功能的支付服务。此外，我行还会收集您的相关收付款交易记录以便于您查询。上述信息属于个人敏感信息，如您拒绝提供该信息，仅会使您无法使用上述功能，但不影响您正常使用个人手机银行或个人网上银行的其他功能。

D. 当您使用个人手机银行或个人网上银行提供的实名认证服务时，您可能需提供您姓名、证件类型、证件号码、证件有效期限、银行卡号/账号、设备信息、指纹认证、声纹认证、刷脸认证信息，我行还可能通过验证账号/卡密码、短信密码及/或高级认证工具等方式对有关信息进行有效性核验。如您不提供上述信息，我行将无法向您提供需完成实名认证后方可使用的产品或服务。

E. 当您使用个人手机银行或个人网上银行提供的搜索服务时，我行会收集或统计您的搜索关键词信息和点击数据，以方便您重复输入或为您展示与您搜索内容相关联的商品。当搜索关键词信息无法单独识别您的个人身份时，该信息不属于您的个人信息，为了给您和其他用户提供更高效的搜索服务，我行有权对其进行使用；当搜索关键词信息与您的其他信息结合可以识别您的个人身份时，我行将在结合使用期间将您的搜索关键词信息作为您的个人信息，对其加以保护处理。

F. 当您使用基于地理位置的功能时，我行会收集您的位置信息，目的在于向您提供所在位置的相应服务。如您拒绝提供该信息，您将无法使用上述功能，但这不影响您正常使用个人手机银行的其他功能。

G. 当您使用个人网上银行、个人手机银行服务时，我行会收集您的交易信息，形成收款人名册，以简化您的转账操作；如您选择手机短信密码作为安全认证工具，我行将向您在我行预留的用以接收短信密码的手机号码发送短信密码，用以个人网上银行、个人手机银行交易验证。

为了提升您使用个人手机银行的客户体验，我行会根据您的浏览、搜索、购买记录、设备信息、位置信息形成特征标签，并据此向您推送或展示您感兴趣的商品信息。

3.2.3为向您提供更加准确、个性和便捷的服务，提升服务体验、改进服务质量，或为防范风险，我行会收集您反馈意见、建议或问题时提供的信息，收集您使用个人手机银行或个人网上银行功能或服务的类别、方式和操作信息，及您在我行的个人用户信息，我行会对这些信息进行统计、分析，并会根据上述信息向您提供相应服务或产品。

3.2.4当您在个人手机银行或个人网上银行中使用第三方提供的服务（如预订机票、火车票、酒店、景区门票，租车，办理签证或海外驾照等）时，第三方可能会获取您的位置、您的昵称、头像、照片、位置、姓名、证件类型、证件号码、手机号码信息、银行卡卡号/账号；这些订单中将还可能包含您的行程、相关地址信息、预订人身份信息、联系人姓名及电话号码信息等。上述所有信息构成您的订单信息，我行将使用您的订单信息来进行您的身份核验、确定交易、支付结算、完成配送、为您查询订单以及提供客服咨询与售后服务；我行还会使用您的订单信息来判断您的交易是否存在异常以保护您的交易安全。

在经过您的同意后，第三方可获取您的以上信息；对于您在使用第三方提供的服务时主动提供给第三方的相关信息，我行将视为您允许该第三方获取上述此类信息；对于您在使用该第三方服务时产生的信息，应由您与该第三方依法约定上述信息的收集和使用事项。如您拒绝第三方在提供服务时收集、使用或者传递上述信息，将可能会导致您无法在个人手机银行或个人网上银行中使用第三方的相应服务，但这不影响您使用其他功能。

3.2.5下列情形中，您可选择是否授权我行收集、使用您的个人信息。使用下列功能可能需要您在您的设备中向我行开启您的相机（摄像头）、地理位置（位置信息）、麦克风、蓝牙、手机通讯录、手机短信、音频口、网络通讯等的访问权限，我行将在您开启的访问权限范围内收集、使用您的个人信息。

请您注意，您向我行开启下列功能对应的访问权限即代表您授权我行可以收集和使用您在下列功能中的个人信息。您向我行关闭下列功能对应的访问权限即代表您取消对我行的授权，我行将不再在下列功能中继续收集和使用您的个人信息，也无法为您提供与该等授权所对应的功能。

如在下列情形之外收集或使用您的个人信息，我们会事先另行获得您的授权，并向您充分告知收集和使用您个人信息的目的、方式和范围。

A. 相机（摄像头），用于如识别条码、人脸识别、转账时拍照识别卡号、设置头像，在人脸识别登录/转账/支付/提升认证、扫一扫、头像设置、客户经理交流视频场景中使用。我行将获取的人脸等数据，加密后存储于系统后台数据库中。

B. 麦克风，用于语音通话、声纹采集、语音操作等用途或场景，在客户经理交流视频场景中使用。我行采集的声纹数据，加密后存储于系统后台数据库中。

C. 手机通讯录，用于转账、话费充值功能，无需您手动输入。个人手机银行仅读取并记录指定电话号码，不读取客户全量通讯录，我行后台系统仅存储该指定电话号码。

D. 手机短信，在需要短信密码的环节可能需要读取短信密码内容协助您进行密码填写。

E. 地理位置，获取您所在地理位置，主要用于交易风控、网点预约排队，另外还能展现城市服务。系统后台保存您交易时的位置信息。

F. 蓝牙，用于蓝牙Key安全认证工具的身份认证场景。

G. 音频口，用于智慧网盾USBKey安全认证工具的身份认证场景。拒绝授权后，将无法使用智慧网盾下的USBKey验证功能，但仍可以使用智慧网盾下的动态令牌验证功能。

H. 网络通讯，用于与服务端进行通讯。系统后台保存客户交易时所使用设备的网络信息，包括IP、端口等信息。

4.1.1除非获得您的授权或同意，我行不会向其他任何公司、组织和个人共享或转让您的个人信息。

4.1.2如因业务需要对外共享或转让您的个人信息，我们会向您告知共享或转让个人信息的目的、数据接收方的类型，并获得您的授权或同意。涉及个人敏感信息的，我们还会告知个人敏感信息的类型、数据接收方的身份和数据安全能力，并征得您的授权或同意。

4.1.3根据法律法规和商业惯例，在合并、收购、资产转让或破产清算等类似交易中，涉及个人信息转让的，我行会在转让前以公告的形式向您告知该等事宜，并要求新的持有您个人信息的公司、组织继续受本政策的约束。如果本政策中约定的个人信息收集、处理方式发生任何改变，该公司、组织将重新征求您的授权或同意。

除非获得您的明确同意，我行不会公开披露您的个人信息。

4.3.1根据相关法律法规的规定，在以下情形中，我行可以在不征得您的授权或同意的情况下共享、转让、公开披露您的个人信息：

A. 与我们履行法律法规规定的义务相关的；

B. 与国家安全、国防安全有关的；

C. 与公共安全、公共卫生、重大公共利益有关的；

D. 与犯罪侦查、起诉、审判和判决执行等有关的；

E. 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；

F. 您自行向社会公众公开的个人信息；

G. 从合法公开披露的信息中收集到的个人信息的，如合法的新闻报道、政府信息公开等渠道；

H. 根据法律法规规定的其他情形，或按政府主管部门的强制性要求。

I. 在本政策所声明目的约束下，向我行经营机构、子公司及其他受我行实际控制的公司共享您的个人信息。

J. 基于法律、法律程序、诉讼或政府主管部门强制性要求，我行可能会向有权机关披露您的个人信息。但我行保证，在上述情况发生时，我行会要求披露请求方必须出具与之相应的有效法律文件，并对被披露的信息采取符合法律和业界标准的安全防护措施。

4.3.2根据法律规定，共享、转让经去标识化处理的个人信息，且确保数据接收方无法复原并重新识别个人信息主体的，不属于个人信息的对外共享、转让及公开披露行为，对此类数据的保存及处理将无需另行向您通知并征得您的同意。

A. 我行在中华人民共和国境内收集和产生的个人信息，将存储在中华人民共和国境内。但为处理跨境业务并在获得您的授权后，您的个人信息作为交易信息的一部分可能会被转移到境外。此种情况下，我行会根据相关法律法规履行个人信息安全出境申报、评估流程，并将采取有效措施保护您的信息安全，例如，在跨境数据转移之前实施数据去标识化等安全措施，或通过协议、核查等措施要求境外机构为您的信息保密。

B. 我行仅在法律法规要求的期限内，以及为实现本政策声明的目的所必须的时限内保留您的个人信息。当超出数据保存期限后，我行会对您的信息进行删除或匿名化处理。例如：

用户头像：当您设置了头像以后，我行会一直保存您的头像，用于登录页面展示使用。当您选择恢复为默认头像后，我行将删除您设置的头像信息。

5.2.1技术措施与数据安全措施

A. 我行努力采取各种符合业界标准的物理、电子和管理方面的安全措施来保护您的个人信息安全，如：SSL/应用层加密技术、HTTPS双向认证技术、数字签名等，以防止您的个人信息在收集、存储、传输等过程中遭到泄露、破坏。

B. 我行积极建立信息安全管理制度规范来管理规范个人信息的存储和使用，我行按照“授权人不参与操作，操作人不参与授权”的原则，履行审批、实施、复核制度，尽商业努力防止您的个人信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。

C. 我行会采取一切商业合理可行的措施，保护您的个人信息。例如，在您的浏览器与我行之间交换数据（如信用卡信息）时受 SSL 加密保护；对本政策「引言」中出现的网站提供 HTTPS安全浏览方式；会使用加密技术确保数据的保密性，并不断更新密钥来确保数据的保密性，并使用受信赖的保护机制防止数据遭到恶意攻击；指派专人负责信息安全保护，并直接向公司管理层汇报；举办安全和隐私保护培训课程，加强员工对于保护个人信息重要性的认识；以及定期进行数据安全能力评估/信息安全风险评估。

5.2.2 安全认证

我行重要信息系统已通过公安部信息安全等级保护备案及测评，并与监管机构、第三方测评机构建立了良好的协调沟通机制，及时抵御并处置各类信息安全威胁，为您的信息安全提供全方位保障。

5.2.3 安全事件处置

我行将尽力确保您发送给我行的任何信息的安全性。您需要了解，您接入我行服务所用的系统和通讯网络，有可能因我行可控范围外的因素而出现问题。为防止安全事故的发生，我行制定了妥善的预警机制和应急预案。若不幸发生个人信息安全事件，我行将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我行已采取或将要采取的处置措施、您可自主防范和降低风险的建议和对您的补救措施，并立即启动应急预案，力求将损失最小化。我行将及时将事件相关情况以电话、邮件、推送通知等方式告知您，难以逐一告知客户时，我行会采取合理、有效的方式发布公告。

同时，我行还将按照监管部门要求，主动上报个人信息安全事件的处置情况，紧密配合政府机关的工作。

需要提醒您注意的是，为了维护我行系统安全，保护我们的员工，记录交易，保护您的信息安全，以及在特定情况下，预防和发现犯罪或违规活动，我们保留权利对一切互联网交互行为进行监控。

我行非常重视您对个人信息的关注，并尽全力保护您对于访问、更正、更新、删除个人信息、注销个人手机银行或个人网上银行等的权利，以使您拥有充分的能力保障您的隐私和安全。您的权利包括：

您有权通过我行个人网上银行、个人手机银行访问及更正、更新您的个人信息，法律法规另有规定的除外。您有责任及时更新您的个人信息。在您修改个人信息之前，我们会验证您的身份。

A. 您登录个人手机银行或个人网上银行后，可以在“信息维护”或“基本资料”中，查询姓名、性别、证件类型、证件号码、手机号码等信息；可以更新证件到期日、职业、经常居住地地址、经常居住地电话、Email地址、家庭电话、家庭地址等信息。

B. 您登录个人手机银行后，可以在“设置”中，进行登录设置、安全设置和消息通知等定制。

A．在以下情形中，您可以向我行提出删除个人信息的请求：

（1）如果我行处理个人信息的行为违反法律法规；

（2）如果我行收集、使用您的个人信息，却未征得您的同意；

（3）如果我行处理个人信息的行为违反了与您的约定；

（4）如果我行终止服务及运营。

B．以上删除请求一旦被响应，除法律法规另有规定要求保留的信息外（如流水记录等），您的个人信息将被及时删除。当您在我行的某项及/或全部服务项下的个人信息被删除后，我行可能不会立即从备份系统中删除相应的信息，但会在备份更新时删除这些信息。

每个业务功能需要相应的个人信息才能得以完成，对于该等个人信息以外的其他信息的收集和使用，您可以根据手机的不同品牌和型号，通过开通或关闭位置服务、读取联系人、拨打电话等访问权限，随时给予或取消您的授权或同意。

如您为我行个人手机银行或个人网上银行的注册用户，您可以通过我行营业网点申请或通过个人网上银行自助注销个人手机银行或个人网上银行。

请您注意，您仅删除手机设备中的我行个人手机银行App时，我行不会注销您的个人手机银行，亦不会删除您个人手机银行的一切信息。此外，注销个人手机银行或个人网上银行不会自动注销您的快捷支付授权，您可以在第三方支付管理或具有类似名称的功能中主动注销快捷支付授权。

为保障安全，我行可能会先要求您验证自己的身份，然后再处理您的请求。您可能需要提供书面请求，或以其他方式证明您的身份。

对于您合理的请求，我行不收取费用。对于那些无端重复、需要过多技术手段（例如，需要开发新系统或从根本上改变现行惯例）、给他人合法权益带来风险或者非常不切实际（例如，涉及备份磁带上存放的信息）的请求，我行可能会予以拒绝。

在以下情形中，按照法律法规要求，我行将无法响应您的请求：

A. 与我们履行法律法规规定的义务相关的；

B. 与国家安全、国防安全直接相关的；

C. 与公共安全、公共卫生、重大公共利益直接相关的；

D. 与犯罪侦查、起诉、审判和判决执行等直接相关的；

E. 有充分证据表明您存在主观恶意或滥用权利的；

F. 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的；

G. 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的；

H. 涉及商业秘密的；

I. 依照法律法规以及行业监管要求的。

您使用我行的服务时，我行会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。我行使用该等信息判断注册客户是否已经登录，提升服务/产品质量及优化用户体验。如您不希望个人信息保存在 Cookie 中，您可对浏览器进行配置，选择禁用 Cookie 功能。禁用 Cookie 功能后，可能影响您访问我行或不能充分取得我行提供的产品和/或服务。

我行不会将 Cookie 用于本政策所述目的之外的任何用途。您可根据自己的偏好管理或删除 Cookie。您可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止 Cookie 的功能。

如果没有监护人的同意，未成年人不得创建自己的用户账户。如您为未成年人，请您的监护人仔细阅读本指引，并在征得您的监护人同意的前提下使用我们的服务或向我们提供信息。我们只会在法律法规及监管要求允许或者保护未成年人所必要的情况下使用、对外提供此信息。

如您对本政策有任何疑问、意见或建议，可以通过拨打我行95559客服热线、登录我行官方网站（www.bankcomm.com)或到我行各营业网点咨询或反映。受理您的问题后，我们会及时、妥善处理。一般情况下，我们将在二十个工作日内给予答复。